Quadrati di puntini bianchi e neri da scansionare con lo smartphone per poter accedere a un sito web o a informazioni nascoste. I codici a risposta rapida, o QR Code, sono stati inventati da un team di Denso Wave, una consociata di Toyota, nel 1994 e da allora vengono utilizzati in tantissimi settori diversi, sostituendo spesso le strisce dei codici a barre.
Dalle confezioni di cibo e bevande alle fermate dei bus, i cartelloni pubblicitari: questi codici sono ovunque e basta scansionarli per accedere alle informazioni che portano. Anche le app come Facebook o LinkedIn creano dei QR Code personali da associare al proprio profilo e per le più svariate azioni.
Una tecnologia basata su un sistema contactless veloce e semplice che soprattutto durante la pandemia da Covid-19 si è rivelata utile e ha preso sempre più piede. I ristoranti possono inserire nel QR Code un link al proprio menu, senza bisogno che passi di mano in mano tra i clienti, che potranno consultarlo sullo smartphone comodamente.
Anche se questi codici sembrano una soluzione perfetta, possono rappresentare un problema per la sicurezza, dato che i link che vengono aperti non possono essere ispezionati a prima occhiata per mettere in guardia l'utente da eventuali pericoli della rete.
Scansionare un QR Code richiede fiducia nel contenuto che troveremo dietro la bislacca scacchiera che è impenetrabile a occhio nudo. Ma soprattutto, scansionare il QR Code sbagliato espone lo smartphone ad attacchi di phishing e di hacker, che potrebbero controllare il dispositivo a cui ogni giorno affidiamo importanti informazioni personali, tra cui le app di servizi bancari online e gli accessi a PayPal, mail e tanto altro.
Compromettere lo smartphone con uno dei codici rapidi significa compromettere la propria sicurezza, sia personale se si tratta di un dispositivo privato, che aziendale se è il telefono del lavoro. Ad esempio, diventa sempre più comune inserire QR Code nei cv che rimandano al profilo LinkedIn del candidato e con esso nuove truffe: un ignaro selezionatore potrebbe aprirlo e ritrovarsi a fronteggiare un malware inatteso.
Altra possibilità l'aggiunta nella lista dei contatti di una voce dannosa: un contatto predisposto per contenere malware che sfrutteranno eventuali bug nel software del dispositivo per infettarlo. O ancora, il dispositivo potrebbe aggiungere e connettersi a una rete Wi-Fi non sicura o compromessa.
C'è poi la possibilità che, attraverso i codici QR Code infettati, di abilitare pagamenti non autorizzati. Ad esempio, usando il codice rapido per donare dei soldi per beneficenza, l'utente si ritrova con account e dettagli personali rubati.
Scansionare un codice potrebbe anche avviare una chiamata vocale o inviare un SMS agli hacker, che così potranno accedere al numero di telefono dell'utente, avere le informazioni sull'ID chiamante e usare i dati per attacchi di phishing o smishing.
Tra le opzioni pericolose di un QR Code c'è anche quella che gli consente di comporre una email con destinatari e oggetti precompilati per creare attacchi di phishing, oppure far scaricare malware agli inconsapevoli utenti che seguono un account di un social network. Infine, le scansioni potrebbero creare voci nel calendario o ottenere la posizione GPS dello smartphone.
Altro aspetto da controllare attentamente, se il contesto appare affidabile, è che non sia stampato su una etichetta incollata sul volantino: qualche malintenzionato potrebbe aver sostituito il suo codice rapido con quello originale.
Infine, si potranno impostare delle opzioni di sicurezza nell'app dello smartphone per la scansione del QR Code, ad esempio richiedendo di visualizzare l'indirizzo web completo prima di avviare qualsiasi azione. Un passaggio che rende meno rapido l'uso del QR Code, ma che ripaga in sicurezza per l'utente.
Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.